【技术实现步骤摘要】
融合控制业务逻辑的电网应用层指令级检测方法
[0001]本专利技术涉及网络安全检测
,尤其涉及一种融合控制业务逻辑的电网应用层指令级检测方法
。
技术介绍
[0002]目前,针对电网智能测控终端遭受到的攻击异常复杂:一是一旦设备受到攻击,将对电网安全稳定运行造成直接影响,这些攻击往往具有高危害性
。
二是与传统信息系统攻击检测相比,由于攻击的定制化发展趋势,电网智能终端的攻击识别更加需要深入分析终端内部的固件以及控制逻辑的运行状态,且同时要保证电网生产控制的高实时性要求
。
因此,亟需掌握电网智能终端的漏洞利用以及攻击方式,并研究针对电网智能终端网络攻击特有的攻击检测和识别技术,提升电网工控系统抵御高级的可持续性工控攻击的能力
。
[0003]电网中遥测量
、
遥信量等主要业务特征码的特征值主要是离散变量,对于离散变量,正常值应为该变量取值范围内的某个离散值,异常数据属于离群点,因此可以将对常量和离散变量的异常数据检测转换为对离群点的检测
。
当前,针对离群点的检测算法主要基于统计
、
距离
、
密度以及聚类四类方法
。
工业环境中的数据分布难以进行统计分布建模并且呈现局部集中分布等特点,相比于基于统计
、
距离和密度的离群点检测算法,基于聚类的检测算法可以避免选择统计分布模型,充分考虑到数据的局部特性,并且聚类算法的时间和空间复杂度是线性或接近线性的,满足工控 ...
【技术保护点】
【技术特征摘要】
1.
一种融合控制业务逻辑的电网应用层指令级检测方法,其特征在于,针对电网应用层指令级检测,采用基于规则匹配的方法检测畸形报文和攻击报文,畸形报文规则根据协议规范进行设计,攻击报文特征库采用
snort
网络攻击规则库;针对业务特征值离散特点,提出一种基于聚类学习的异常检测技术,实现包括业务指令频次
、
业务特征码的异常识别
。2.
根据权利要求1所述的融合控制业务逻辑的电网应用层指令级检测方法,其特征在于,所述采用基于规则匹配的方法检测畸形报文,即针对电网的特点,提取出能够识别协议行为的关键特征字段,与语法语义规则进行规则匹配,实现对的畸形报文的检测;畸形报文识别,是对不符合电网协议标准格式的报文进行分析和识别,其中协议异常检测包括消息头格式异常
、
消息结束格式异常
、
消息完整性错误
、
应用协议配置信息异常
、
应用服务数据单元异常的异常类型
。3.
根据权利要求1所述的融合控制业务逻辑的电网应用层指令级检测方法,其特征在于,所述基于聚类学习的异常检测技术,即从电网网络报文中提取电网业务行为的特征值,使用聚类分析算法通过对这些特征值的学习,构建电网业务行为特征,具体如下:
①
报文特征提取:在电网协议解析后的报文载荷中,提取系统业务行为特征值,包括业务指令频次
、
业务特征码的业务指令行为特征值;
②
聚类学习:通过
K
‑
Means
聚类算法对业务指令行为特征值样本进行学习计算,使得同一类的业务指令行为特征被聚集到相同的聚类中,实现对业务指令行为特征的分类,形成多类业务指令行为聚类族;
③
聚类判断:将实时采集的业务指令行为特征通过聚类算法进行计算,通过聚类算法使得同一类的业务指令行为被聚集到相同的聚类中,实现对业务指令行为...
【专利技术属性】
技术研发人员:张坤三,张永记,郭敬东,刘俊,罗富财,沈立翔,吴丽进,何金栋,郭蔡炜,纪文,郑原俊,林晋煌,
申请(专利权)人:国网福建省电力有限公司漳州供电公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。